Prestataire d'Audit de la Sécurité des Systèmes d'Information

La qualification PASSI constitue le standard de référence pour l'audit de sécurité des systèmes d'information en France. Elle garantit aux entités régulées NIS2 la compétence technique, l'impartialité et la confidentialité d'un prestataire reconnu par l'État. Dans un contexte où la directive impose des vérifications régulières de l'efficacité des mesures de sécurité, mobiliser un PASSI qualifié offre une assurance objective de conformité.

Histoire et cadre du référentiel PASSI

L'ANSSI a publié la version 2.3 du référentiel PASSI fin 2024, qui permet d'assurer une cohérence avec les travaux menés dans le cadre du règlement européen CyberSecurity Act. Cette mise à jour succède aux versions antérieures encadrées par l'arrêté du 27 mars 2015 relatif aux prestataires d'audit (décret n°2015-350).

L'évolution majeure introduit le concept de note de cadrage, définie comme un document élaboré en concertation avec le commanditaire précisant les modalités de la prestation, remplaçant les conventions de service jugées trop lourdes. Le référentiel distingue désormais deux niveaux de garantie — substantiel et élevé — avec des exigences adaptées aux contraintes opérationnelles des prestations.

Les prestataires qualifiés sont contrôlés tous les 18 mois par un organisme mandaté par l'ANSSI, et pour les niveaux élevés et élevés-LPM, les auditeurs doivent passer sur chacune des 5 portées un examen écrit et oral tous les 36 mois.

Périmètre couvert : que fait concrètement un PASSI

Un prestataire qualifié PASSI intervient sur cinq portées techniques distinctes, couvrant l'intégralité du spectre d'audit de sécurité :

• Audit d'architecture : analyse de la conception globale du SI, segmentation réseau, zones de confiance
• Audit de configuration : vérification de la conformité des équipements (serveurs, firewalls, routeurs, Active Directory) aux bonnes pratiques
• Audit organisationnel et physique : évaluation des processus, politiques de sécurité, contrôles d'accès physiques
• Audit de code source : revue de sécurité applicative, recherche de vulnérabilités dans le développement
• Test d'intrusion : simulation d'attaque pour identifier les failles exploitables en conditions réelles

Un PASSI ne peut pas :

• Fournir simultanément audit et remédiation sur un même périmètre (conflit d'intérêt)
• Auditer des systèmes qu'il a lui-même conçus ou opérés
• Délivrer des certifications ou homologations (rôle réservé à l'ANSSI ou autorités compétentes)

Quand mobiliser un prestataire PASSI

Cas 1 : Évaluation de l'efficacité des mesures de sécurité

L'article 21 de NIS2 impose aux entités essentielles et importantes d'évaluer régulièrement l'efficacité de leurs mesures. Un audit PASSI externe apporte une validation indépendante et méthodique, particulièrement pertinent pour la mesure d'évaluation de l'efficacité. Fréquence recommandée : tous les 18 à 24 mois ou après incident majeur.

Cas 2 : Qualification d'une analyse de risques

Avant toute homologation ou mise en production d'un système critique, un audit d'architecture et de configuration PASSI permet de confronter l'analyse de risques théorique à la réalité du déploiement. Il identifie les écarts entre spécifications et réalisation, notamment sur les dispositifs de cryptographie et chiffrement.

Cas 3 : Audit post-incident ou tests de résilience

Après une intrusion ou dans le cadre de la gestion des incidents, un test d'intrusion PASSI mesure le niveau réel de détection et de réponse du SOC. Il complète les obligations de continuité d'activité en validant les procédures de reprise.

Cas 4 : Sécurisation de la chaîne d'approvisionnement numérique

Pour les fournisseurs critiques (hébergeurs, intégrateurs), un audit PASSI constitue une exigence contractuelle croissante. Il vérifie la robustesse des systèmes tiers avant interconnexion au SI de production, notamment en matière de contrôle d'accès et gestion des actifs.

Comment se déroule une mission PASSI

Le déroulement suit un cadre normé garantissant la traçabilité et la qualité :

1. Phase de cadrage (1 à 2 semaines) : rédaction de la convention d'audit PASSI et du plan d'audit pour chaque test à mener. Définition du périmètre, des exclusions (systèmes de production sensibles), des horaires d'intervention.

2. Réunion de lancement : alignement avec les équipes techniques, validation des accès et comptes de test, identification des interlocuteurs.

3. Phase d'exécution (3 à 15 jours selon périmètre) : tests manuels et automatisés, collecte de preuves, documentation des vulnérabilités. Durée typique : 5 à 10 jours selon le périmètre réglementaire pour un audit de conformité NIS2.

4. Restitution intermédiaire : présentation orale des constats critiques nécessitant traitement immédiat.

5. Rapport final et clôture : livrable écrit détaillant constats, preuves, cotation CVSS, plan de remédiation priorisé. Tenue de la réunion de clôture de l'audit PASSI pour transfert de connaissance.

Durée totale : entre 4 et 20 semaines du cadrage à la livraison finale, selon complexité et disponibilité des environnements.

Tarification indicative

Le marché 2025-2026 positionne les audits PASSI dans les fourchettes suivantes :

• Audit de configuration (PME 20-50 postes) : 1 500 € à 5 000 €
• Audit organisationnel + configuration (50-100 postes) : 2 500 € à 4 500 € HT
• Test d'intrusion externe simple : 4 000 € à 20 000 € selon complexité du périmètre
• Audit complet multi-portées (architecture, config, pentest) : 12 000 € HT pour 100 à 250 postes
• TJM consultant PASSI certifié : 700 à 900 € en régie ponctuelle

Facteurs de variation : niveau de qualification (substantiel vs élevé), nombre de portées mobilisées, environnements multi-sites, profondeur du pentest (boîte noire, grise ou blanche), contraintes horaires (audits hors production).

Aides disponibles : dispositif Bpifrance Diag Cyber jusqu'à 14 000 €, 50 % subvention pour les PME éligibles.

Différences PASSI vs qualifications voisines

PASSI vs PASSI-LPM : Le niveau PASSI-LPM garantit une expertise pointue et des processus adaptés aux Opérateurs d'Importance Vitale. Il est obligatoire pour les OIV mais reste optionnel pour les entités NIS2 classiques. PASSI-LPM ajoute des exigences de secret-défense et habilitations renforcées.

PASSI vs PRIS (Prestataire de Réponse aux Incidents de Sécurité) : le PASSI audite avant l'incident, le PRIS intervient pendant la crise pour investigation forensique, éradication de malware, coordination post-compromission. Le référentiel PRIS couvre recherche d'indicateurs de compromission, investigation numérique, analyse de codes malveillants et pilotage des investigations.

PASSI vs PDIS (Prestataire de Détection des Incidents de Sécurité) : le PDIS opère un SOC en continu ; le PASSI évalue ponctuellement la capacité de détection via des tests adversaires simulés.

PASSI vs PACS (Prestataire d'Accompagnement et de Conseil en Sécurité) : le PACS conseille sur l'analyse de risques, l'homologation, l'architecture ; le PASSI vérifie la conformité effective par des audits techniques. Les deux qualifications sont complémentaires dans un cycle de mise en conformité NIS2.

Pour identifier un prestataire PASSI qualifié, consulter le catalogue officiel ANSSI mis à jour mensuellement.

Sources de cette fiche

• https://www.solutions-numeriques.com/lanssi-met-a-jour-ses-referentiels-pris-et-passi/
• https://www.synetis.com/expertises/audit/audit-passi/
• https://www.itrust.fr/services/audit-passi
• https://deefense.fr/cyber-et-it/prix-audit-cybersecurite-pme-budget-et-tarifs-detailles-2025
• https://deefense.fr/prix-audit-cybersecurite-pme-budget-et-tarifs-detailles-2025/
• https://www.sicollab.com/blog/audit-informatique-prix-pme/
• https://www.digitemis.com/audit-cybersecurite-prix-tarifs-devis/
• https://www.sicollab.com/blog/prix-audit-securite-informatique/
• https://webguard-agency.fr/prix-audit-securite-informatique/
• https://www.globalsecuritymag.fr/serma-safety-and-security-obtient-la-qualification-passi-lpm-par-l-anssi.html
• https://cyber.gouv.fr/produits-services-qualifies